Windows 365에 대한 Microsoft Purview 포렌식 증거 설정

Microsoft Purview 포렌식 증거는 잠재적으로 위험한 보안 관련 사용자 활동에 대한 더 나은 인사이트를 얻는 데 도움이 됩니다. 사용자 지정 가능한 이벤트 트리거 및 기본 제공 사용자 개인 정보 보호 컨트롤을 사용하면 포렌식 증거를 통해 여러 디바이스에서 시각적 활동 캡처를 사용자 지정할 수 있습니다. 포렌식 증거는 조직이 중요한 데이터의 무단 데이터 반출과 같은 잠재적 데이터 위험을 더 잘 완화, 이해 및 대응하는 데 도움이 됩니다.

다음과 같이 조직에 적합한 정책을 설정합니다.

• 법의학적 증거를 포착하기 위한 가장 높은 우선 순위는 위험한 사건입니다.
• 가장 중요한 데이터는 무엇인가요?
• 포렌식 캡처가 활성화될 때 사용자에게 알림을 받을지 여부입니다.

포렌식 증거 캡처는 기본적으로 꺼져 있으며 정책 생성에는 이중 권한 부여가 필요합니다.

요구 사항

다음 요구 사항이 충족되지 않으면 Microsoft Purview 클라이언트 문제가 발생할 수 있으며 포렌식 캡처 품질이 신뢰할 수 없을 수 있습니다.

Microsoft Purview 포렌식 증거를 설정하려면 환경이 다음 요구 사항을 충족해야 합니다.

디바이스 구성 요구 사항

• 갤러리 이미지 유형
  • Windows 11 Enterprise + Microsoft 365 앱 23H2 이상
• 라이선스 옵션
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 내부자 위험 관리
• 조인 유형 및 네트워크
  • Microsoft Entra가 Microsoft 호스팅 네트워크 및 Azure 네트워크 연결과 조인됨
  • Azure 네트워크 연결에 조인된 Microsoft Entra 하이브리드
• Windows 버전 4.18.2110 이상의 Microsoft Defender 바이러스 백신
• Microsoft 365 앱 버전 16.0.14701.0 이상
• 기본 사용자에게 디바이스를 할당해야 합니다 .
• 클라우드 PC 크기
  • 최적의 성능을 위해 8vCPU 이상(자세한 내용은 클라우드 PC 크기 권장 사항 참조)

역할 요구 사항

• 계정에는 다음 역할 중 하나 이상이 있어야 합니다.
  • Microsoft Entra ID 준수 관리자 역할
  • Microsoft Entra ID 전역 관리자 역할
  • Microsoft Purview 조직 관리 역할 그룹
  • Microsoft Purview 규정 준수 관리자 역할 그룹
  • 내부 위험 관리 역할 그룹
  • 내부 위험 관리 관리자 역할 그룹

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

내부 위험 관리 역할에 대한 자세한 내용은 내부 위험 관리에 대한 권한 사용을 참조하세요.

디바이스 온보딩 켜기

1. Microsoft Purview 포털을 엽니다. 설정>디바이스 온보딩>디바이스>온보딩을 선택합니다.

2. 구성 패키지를 배포하는 데 사용할 배포 방법을 선택합니다.

   • Intune: 모바일 디바이스 관리 도구 또는 Microsoft Intune을 사용합니다.
   • 로컬 스크립트: 로컬 스크립트를 사용합니다.

Intune을 사용하여 구성 패키지 배포

1. Microsoft Intune 관리 센터>엔드포인트 보안> 엔드포인트용 Microsoft Defender에> 로그인하여 Microsoft Defender 보안 센터를 엽니다.

2. Microsoft Intune 연결을켜기로 설정한 다음, 기본 설정을 저장합니다.

3. 엔드포인트용 Microsoft Defender로 돌아가서 다음 옵션을 설정합니다.

   • 엔드포인트용 Microsoft에서 엔드포인트 보안 구성을 적용하도록 허용: 켜기
   • Windows 디바이스 버전 10.0.15063 이상을 엔드포인트용 Microsoft Defender에 연결: 켜기

4. 저장을 선택합니다.

5. 엔드포인트 보안>엔드포인트 검색 및 응답>정책 만들기를 선택합니다.

6. 다음 옵션을 선택합니다.

   • 플랫폼: Windows 10, Windows 11 및 Windows Server
   • 프로필 유형: 엔드포인트 검색 및 응답

7. 만들기를 선택합니다.

8. 다음으로 이름 및 설명을> 입력합니다.

9. 구성 설정 페이지의 엔드포인트용 Microsoft Defender 클라이언트 구성 패키지 유형에 대해 커넥터>다음에서 자동을 선택합니다.

10. 범위 태그 페이지에서 다음을 선택합니다.

11. 할당 페이지에서 클라우드 PC >Next의 기본 사용자를 포함하는 그룹을 선택합니다.

12. 검토 및 만들기 페이지에서 완료되면 만들기를 선택합니다.

정책을 만든 후에는 정책이 적용되고 디바이스가 엔드포인트용 Microsoft Defender에 온보딩되기 전에 사용자가 디바이스에 로그인해야 합니다.

로컬 스크립트를 사용하여 구성 패키지 배포

로컬 스크립트를 사용하여 Windows 10 및 Windows 11 디바이스 온보딩의 지침을 따릅니다. 이는 모든 클라우드 PC를 온보딩하기 전에 클라우드 PC의 하위 집합을 테스트할 때 유용할 수 있습니다.

온보딩 디바이스 목록 보기

1. Microsoft Purview 포털>설정>디바이스 온보딩 디바이스를> 엽니다.

2. 다음 열을 확인합니다.

   • 구성 상태: 디바이스가 올바르게 구성되었는지를 표시합니다.
   • 정책 동기화 상태: 디바이스가 최신 정책 버전으로 업데이트되었는지 확인합니다. 최신 정책으로 업데이트하려면 디바이스가 켜져야 합니다.

다음 단계

Microsoft Purview에 대한 자세한 내용은 Microsoft Purview에 대해 알아보기를 참조하세요.